Presidenza del Consiglio dei Ministri

Menu di navigazione

OpenID Connect in SPID: adottate le Linee guida

Data:

Le Linee Guida sono destinate ai Gestori dell’identità digitale e ai Fornitori di servizi pubblici e privati. Nulla cambia per gli utenti

Le “Linee Guida per OpenID Connect in SPID” – redatte ai sensi dell’art. 64 del decreto legislativo 7 marzo 2005, n. 82 recante il Codice dell’Amministrazione Digitale (CAD) – sono state definitivamente adottate da AgID con la Determinazione n. 616/2021

 

Le Linee Guida sono destinate ai Gestori dell’identità digitale, per i quali è stabilito l’obbligo della loro attuazione a decorre dal 1° maggio 2022, e ai Fornitori di servizi pubblici e privati che intenderanno erogare i propri servizi online, mediante autenticazione degli utenti con SPID, basata su OpenID Connect. Nulla cambia, invece, per gli utenti che continueranno a utilizzare SPID con le stesse modalità.

 

OpenID Connect è lo standard di autenticazione attualmente utilizzato dalla quasi totalità delle moderne applicazioni web e mobile nel mondo privato (Google, Microsoft, PayPal e molti altri).

Le caratteristiche di OpenID Connect rispetto allo standard attualmente utilizzato da SPID (SAML) sono:

- maggiore sicurezza;

- maggiore facilità di integrazione in sistemi eterogenei (single-page app, web, backend, mobile, IoT);

- migliore integrazione di componenti di terze parti in modalità sicura, interoperabile e scalabile.

 

“SPID OpenID Connect” prevede una serie di controlli di sicurezza obbligatori, adatti a una vasta gamma di casi d'uso governativi, mantenendo una ragionevole facilità di implementazione e funzionalità.

Tra i vari controlli, OpenID Connect consente di evitare potenziali attacchi attuati mediante l’intercettazione delle comunicazioni tra i vari attori coinvolti, soprattutto nel caso di applicazioni per dispositivi mobili.

Inoltre, per evitare continui inserimenti di password e migliorare la user experience nelle applicazioni mobili, “SPID OpenID Connect” prevede l’utilizzo delle c.d. sessioni lunghe revocabili.

Infine, sono previsti meccanismi che consentono agli utenti di bloccare un’autenticazione precedentemente effettuate per l'accesso ad uno specifico servizio.